Language of document :

Žádost o rozhodnutí o předběžné otázce podaná Verwaltungsgericht Wien (Rakousko) dne 16. března 2022 – CK

(Věc C-203/22)

Jednací jazyk: němčina

Předkládající soud

Verwaltungsgericht Wien

Účastníci původního řízení

Navrhovatelka: CK

Vedlejší účastnice řízení: Dun & Bradstreet Austria GmbH, Magistrat der Stadt Wien

Předběžné otázky

Jaké obsahové požadavky musí splňovat poskytnuté informace, aby byly kvalifikovány jako dostatečně „smysluplné“ ve smyslu čl. 15 odst. 1 písm. h) obecného nařízení o ochraně osobních údajů (dále jen „GDPR“)1 ?

Musí správce – popřípadě při zachování existujícího obchodního tajemství – v případě profilování v rámci poskytnutí přístupu k informacím o „použitém postupu“ v zásadě sdělit i informace, které jsou v daném případě podstatné pro umožnění ověření výsledku automatizovaného rozhodování, zejména 1) sdělit údaje zpracovávané o subjektu údajů, 2) sdělit části algoritmu, na kterém se profilování zakládá a které jsou nezbytné k umožnění ověření, a 3) informace, které jsou relevantní pro odhalení vztahu mezi zpracovávanou informací a provedeným hodnocením?

Musí být v případech, které se týkají profilování, osobě, které přísluší právo na přístup k informacím ve smyslu čl. 15 odst. 1 písm. h) GDPR, i v případě vznesení námitky obchodního tajemství sděleny alespoň následující informace ohledně konkrétního zpracování, které se jí týká, aby jí bylo umožněno hájení jejích práv vyplývajících z čl. 22 odst. 3 GDPR:

a)    předání veškerých, popřípadě pseudoanonymizovaných informací, zejména informací týkajících se způsobu zpracování údajů subjektu údajů, které umožňují ověřit, zda je dodržováno GDPR,

b)    poskytnutí vstupních dat použitých k vytvoření profilu,

c)    pomocné a vstupní proměnné, které byly použity při stanovení hodnocení,

d)    vliv těchto pomocných a vstupních proměnných na vypočtené hodnocení,

e)    informace týkající se způsobu stanovení pomocných, resp. vstupních proměnných,

f)    objasnění toho, proč byla osoba, které přísluší právo na přístup k informacím ve smyslu čl. 15 odst. 1 písm. h) GDPR, přiřazena určitému výsledku hodnocení, a údaj o tom, jaký výrok byl s tímto hodnocením spojen,

g)    výčet kategorií profilu a objasnění toho, jaký hodnotící výrok je spojen s každou z kategorií profilu?

Souvisí právo na přístup k informacím přiznané na základě čl. 15 odst. 1 písm. h) GDPR s právem vyjádřit svůj názor a právem napadnout provedené automatizované rozhodování ve smyslu článku 22 GDPR, která jsou zaručena čl. 22 odst. 3 GDPR, do té míry, že je rozsah informací, které je třeba poskytnout na základě žádosti o přístup k informacím ve smyslu čl. 15 odst. 1 písm. h) GDPR dostatečně „smysluplný“ pouze v případě, že je žadateli, který se domáhá přístupu, a subjektu údajů ve smyslu čl. 15 odst. 1 písm. h) GDPR umožněno skutečně, důkladně a s nadějí na úspěch uplatnit právo vyjádřit svůj názor a právo napadnout automatizované rozhodování ve smyslu článku 22 GDPR, jež se ho týká, která jsou mu zaručena čl. 22 odst. 3 GDPR?

a) Musí být čl. 15 odst. 1 písm. h) GDPR vykládán v tom smyslu, že je třeba mít za to, že o „smysluplnou informaci“ ve smyslu tohoto ustanovení se jedná pouze v případě, že je tato informace natolik zevrubná, že osoba, které přísluší právo na přístup k informacím ve smyslu čl. 15 odst. 1 písm. h) GDPR, může zjistit, zda tato poskytnutá informace rovněž odpovídá skutečnosti, tedy zda se automatizované rozhodování, ohledně něhož byl v daném případě vznesen dotaz, také skutečně zakládalo na sdělených informacích?

b) V případě kladné odpovědi: Jak je třeba postupovat, pokud lze správnost informací poskytnutých správcem ověřit pouze tak, že osobě, které přísluší právo na přístup k informacím ve smyslu čl. 15 odst. 1 písm. h) GDPR, musí být sděleny i údaje třetích osob chráněné GDPR („černá skříňka“)?

Lze tuto kolizi mezi právem na přístup ve smyslu čl. 15 odst. 1 GDPR a právem třetích osob na ochranu osobních údajů odstranit i tak, že jsou údaje třetích osob, které rovněž byly podrobeny témuž profilování, jež jsou nezbytné k ověření správnosti poskytnutých informací, zpřístupněny výlučně správnímu orgánu nebo soudu, takže je na daném orgánu nebo soudu, aby nezávisle ověřil, zda sdělené údaje těchto třetích osob odpovídají skutečnosti?

c) V případě kladné odpovědi: Jaká práva musí být v každém případě přiznána osobě, které přísluší právo na přístup k informacím ve smyslu čl. 15 odst. 1 písm. h) GDPR, v případě, že je nutné ochranu práv třetích osob ve smyslu čl. 15 odst. 4 GDPR zajistit pomocí vytvoření „černé skříňky“ uvedené v bodě 3b)?

Musí být osobě, které přísluší právo na přístup k informacím ve smyslu čl. 15 odst. 1 písm. h) GDPR, v takovém případě sděleny alespoň údaje jiných osob, které je třeba sdělit za účelem umožnění ověření správnosti rozhodovacího procesu správce ve smyslu čl. 15 odst. 1 GDPR, v pseudoanonymizované podobě?

a) Jak je třeba postupovat, pokud informace ve smyslu čl. 15 odst. 1 písm. h) GDPR, která má být poskytnuta, splňuje i požadavky kladené na obchodní tajemství ve smyslu čl. 2 bodu 1 směrnice o ochraně know-how1 ?

Lze kolizi mezi právem na přístup, které je zaručeno čl. 15 odst. 1 písm. h) GDPR, a právem na nezpřístupnění obchodního tajemství chráněného směrnicí o ochraně know-how, odstranit tak, že se informace, které je třeba považovat za obchodní tajemství ve smyslu čl. 2 bodu 1 směrnice o ochraně know-how, zpřístupní pouze správnímu orgánu nebo soudu, takže je na daném orgánu nebo soudu, aby nezávisle ověřil, zda je třeba mít za to, že se jedná o obchodní tajemství ve smyslu čl. 2 bodu 1 směrnice o ochraně know-how, a zda informace poskytnutá správcem ve smyslu čl. 15 odst. 1 GDPR odpovídá skutečnosti?

b) V případě kladné odpovědi: Jaká práva musí být každopádně přiznána osobě, které přísluší právo na přístup k informacím ve smyslu čl. 15 odst. 1 písm. h) GDPR, v případě, že je nutné ochranu práv třetích osob ve smyslu čl. 15 odst. 4 GDPR zajistit pomocí vytvoření „černé skříňky“ zmíněné v bodě 4a)?

Musí být (i) v tomto případě dichotomie mezi informacemi, které je třeba sdělit správnímu orgánu, resp. soudu, a informacemi, které je v případech, které se týkají profilování, třeba sdělit osobě, které přísluší právo na přístup k informacím ve smyslu čl. 15 odst. 1 písm. h) GDPR, osobě, které přísluší právo na přístup k informacím ve smyslu čl. 15 odst. 1 písm. h) GDPR, sděleny alespoň následující informace související s konkrétním zpracováním, které se jí týká, aby jí bylo umožněno plné uplatnění jejích práv vyplývajících z čl. 22 odst. 3 GDPR:

a)    předání veškerých, popřípadě pseudoanonymizovaných informací, zejména informací týkajících se způsobu zpracování údajů subjektu údajů, které umožňují ověřit, zda je dodržováno GDPR,

b)    poskytnutí vstupních dat použitých k vytvoření profilu,

c)    pomocné a vstupní proměnné, které byly použity při stanovení hodnocení,

d)    vliv těchto pomocných a vstupních proměnných na vypočtené hodnocení,

e)    informace týkající se způsobu stanovení pomocných, resp. vstupních proměnných,

f)    objasnění toho, proč byla osoba, které přísluší právo na přístup k informacím ve smyslu čl. 15 odst. 1 písm. h) GDPR, přiřazena určitému výsledku hodnocení, a údaj o tom, jaký výrok byl s tímto hodnocením spojen,

g)    výčet kategorií profilu a objasnění toho, jaký hodnotící výrok je spojen s každou z kategorií profilu?

Je na základě ustanovení čl. 15 odst. 4 GDPR nějakým způsobem omezen rozsah přístupu k informacím, který má být poskytnut podle čl. 15 odst. 1 písm. h) GDPR?

V případě kladné odpovědi, jakým způsobem je toto právo na přístup článkem 15 odst. 4 GDPR omezeno a jak lze v daném případě zjistit rozsah tohoto omezení?

Je ustanovení § 4 odst. 6 Datenschutzgesetz (zákon o ochraně osobních údajů), podle kterého „právo subjektu údajů na přístup podle článku 15 GDPR vůči správci, aniž jsou dotčena jiná zákonná omezení, zpravidla nepřísluší v případě, že by poskytnutím tohoto přístupu bylo ohroženo obchodní tajemství správce, resp. třetích osob“, slučitelné s požadavky stanovenými čl. 15 odst. 1 ve spojení s čl. 22 odst. 3 GDPR? V případě kladné odpovědi, za jakých podmínek taková slučitelnost nastává?

____________

1     Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1)

1     Směrnice Evropského parlamentu a Rady (EU) 2016/943 ze dne 8. června 2016 o ochraně nezveřejněného know-how a obchodních informací (obchodního tajemství) před jejich neoprávněným získáním, využitím a zpřístupněním (Úř. věst. L 157, 15.6.2016, s. 1).